Apache Software Foundation ha identificado una vulnerabilidad crítica en Apache Struts, un framework de código abierto para desarrollar aplicaciones web en Java. La falla permite la ejecución remota de código debido a una lógica defectuosa en la validación de la carga de archivos.
- CVE-2024-53677 (CVSS 9.5): El problema radica en fallos en la lógica de carga de archivos que permite a los atacantes manipular parámetros para realizar un cruce de rutas y cargar archivos maliciosos. Este defecto es similar al reportado previamente en S2-066. La vulnerabilidad tiene un impacto crítico, permitiendo ejecución remota de código.
Productos y versiones afectadas:
- Apache Struts desde la versión 2.0.0 hasta antes de la 6.4.0.
Solución:
- Actualizar Apache Struts a la versión 6.4.0 o superior.
- Implementar el “Action File Upload Interceptor” para garantizar la validación adecuada de las cargas de archivos y evitar vulnerabilidades similares.
Recomendaciones:
- Actualizar inmediatamente Apache Struts a la versión 6.4.0 o superior.
- Implementar configuraciones de seguridad adicionales, como el “Action File Upload Interceptor”.
- Verificar regularmente la configuración de seguridad de las aplicaciones que utilizan Apache Struts para mitigar riesgos futuros.
Referencias: